Silver RAT gekoppeld aan Syrische bedreigingsacteur
Een hackgroep bekend als Anonymous Arabic heeft onlangs een nieuwe trojan voor externe toegang (RAT) gelanceerd met de naam Silver RAT. Deze malware is ontworpen om beveiligingssoftware te omzeilen en op discrete wijze verborgen toepassingen te initiëren. Cyfirma, een cyberbeveiligingsbedrijf, benadrukte in een recent rapport de actieve en geavanceerde aanwezigheid van de ontwikkelaars op meerdere hackerforums en sociale-mediaplatforms.
Deze dreigingsactoren, vermoedelijk van Syrische afkomst en geassocieerd met de oprichting van een andere RAT genaamd S500 RAT, beheren een Telegram-kanaal dat verschillende diensten aanbiedt. Deze diensten omvatten het distribueren van gekraakte RAT's, het delen van gelekte databases, het uitvoeren van kaartactiviteiten en het verkopen van Facebook- en X-bots (voorheen Twitter). De verkochte sociale-mediabots worden later door andere cybercriminelen gebruikt om automatisch te communiceren met en commentaar te geven op gebruikersinhoud om illegale diensten te promoten.
Silver RAT is nog relatief vers
Silver RAT v1.0 werd voor het eerst in het wild ontdekt in november 2023, ook al maakten de hackers een jaar eerder officieel hun plannen bekend om de trojan uit te brengen. De trojan werd gekraakt en rond oktober 2023 op Telegram gelekt.
Deze op C# gebaseerde malware wordt geleverd met tal van functies, zoals verbinding maken met een command-and-control (C2)-server, toetsaanslagen registreren, systeemherstelpunten verwijderen en gegevens coderen met behulp van ransomware. Er zijn ook aanwijzingen dat er momenteel een Android-versie in ontwikkeling is.
Bij het maken van een payload met de Silver RAT-builder kunnen bedreigingsactoren kiezen uit verschillende opties met een payloadgrootte tot 50 kb. Eenmaal verbonden, worden de gegevens van het slachtoffer weergegeven op het door de aanvaller bestuurde Silver RAT-paneel, met logbestanden op basis van de geselecteerde functionaliteiten.
Een interessante ontwijkingstactiek die in Silver RAT is verwerkt, is de mogelijkheid om de uitvoering van de payload voor een bepaalde tijd uit te stellen, samen met de mogelijkheid om discreet apps te starten en de controle over de gecompromitteerde host over te nemen.
Nader onderzoek van de online activiteiten van de malware-auteurs wijst erop dat een van de groepsleden waarschijnlijk midden twintig is en in Damascus woont.